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Beschreibung 

Verfahren zur Uberwachung des Programmlauf s in einem Mikro- 
computer 

5 

Die Erfindung betrifft ein Verfahren zur Uberwachung des Pro- 
grammlauf s in einem Mikrocomputer eines elektronischen Gera- 
tes, insbesondere einer Sensorschaltung fur Kraf tf ahrzeuge, 
wobei das Program Eingangsdaten verarbeitet und Ausgangsda- 
10 ten erzeugt. 

Bei elektronischen Geraten, die mit einem Mikrocomputer aus- 
gerustet sind, kann es durch Defekte im Mikrocomputer, insbe- 
sondere bei fehlerhaftem Programmlauf, zu Ausfallen und Fehl- 
15 funktionen kommen. Bei Sensorschaltungen fur Kraf tf ahrzeuge 
und anderen sicherheitsrelevanten Geraten konnen derartige 
Fehler zu Gefahrdungen fuhren, die mit sehr groBer Sicherheit 
vermieden werden mussen. 

2 0 Aufgabe der vorliegenden Erfindung ist es daher, den Pro- 
grammlauf in einem Mikrocomputer moglichst vollstandig und 
sicher zu uberwachen und somit durch ein geeignetes Alarmsig- 
nal Benutzer zu informieren oder in verbundenen Systemen Ge- 
genmafinahmen einzuleiten. 

25 

Diese Aufgabe wird bei einer ersten Ausf uhrungsf orm der Er- 
findung dadurch gelost, dass zusatzlich zu dem Lauf des Pro- 
gramms eine Kopie des Programms, die in einem anderen Adres- 
senbereich als das Programm im Mikrocomputer gespeichert ist, 

30 mit den fur das Programm vorgesehenen Eingangsdaten ablauft 
und dass die Ausgangsdaten der Kopie mit denen des Programms 
verglichen werden und bei Nichtubereinstimmung eine Fehler- 
meldung erzeugt wird. Diese Ausf uhrungsf orm berucksichtigt , 
dass bei einem an sich einwandf reien Programm ein Hardware- 

35 bedingter Fehler wahrend des Ablaufs des Programms nicht auch 
bei einem identischen Programm auf tritt . 
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Mit einer Weiterbildung kann die Kopie des Programms dadurch 
iiberpruft werden, dass ein weiterer Lauf der Kopie vorgesehen 
ist, bei welchem vorgegebene Testdaten verarbeitet werden, 
dass die Ausgangsdaten des weiteren Laufs der Kopie mit in 
einem Speicher abgelegten Vergleichsdaten verglichen werden 
und dass bei Nichtiibereinstimmung eine Fehlermeldung erzeugt 
wird. 



10 



Um insgesamt den Lauf des Programms einschliefilich des zur 
Uberwachung dienenden Programms kontrollieren zu konnen, ist 
bei einer Weiterbildung des erf indungsgemafien Verfahrens vor- 
gesehen, dass nach dem Lauf des Programms und nach dem Lauf 
von Programmteilen, welche zur Durchfuhrung des erf indungsge- 
malien Verfahrens dienen, jeweils ein Flag gesetzt oder gean- 
15 dert wird und dass eine Fehlermeldung erzeugt wird, wenn 
nicht alle Flags gesetzt oder geandert wurden. 

Eine zweite Ausf uhrungsf orm der Erfindung dient zur Uberwa- 
chung des Programmlaufs in mindestens zwei miteinander ver- 

20 bundenen Mikrocomputern eines elektronischen Gerates, insbe- 
sondere einer Sensorschaltung fur Kraf tf ahrzeuge, und besteht 
darin, dass in einem der Mikrocomputer eine Anfrage erzeugt 
wird, welche an den anderen Mikrocomputer gesendet wird und 
dort mit vorgegebenen Eingangsdaten den Lauf eines Programms 

25 bewirkt, dass eine von den Ausgangsdaten abhangige Antwort an 
den einen Mikrocomputer zuriickgesendet wird und dass in dem 
einen Mikrocomputer die Anforderung und die Antwort miteinan- 
der verglichen werden. Auch hierbei kann wieder vorgesehen 
sein, dass das Programm eine Kopie eines die eigentliche ' 

30 Funktion des anderen Mikrocomputers ausfiihrenden Programms 
ist . 



Sowohl eine Uberwachung desjenigen Computers, in dem das ge- 
nannte Programm lauft, als auch eine Kontrolle der Uberwa- 
chung ist bei der zweiten Ausfuhrungsf orm der Erfindung da- 
durch moglich, dass die Antwort von Zeit zu Zeit verfalscht 
wird, was in dem anderen Mikrocomputer zunachst als Fehler 
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des einen Mikrocomputers erkannt wird, jedoch in dem einen 
Mikrocomputer erwartet und gepriift wird. 

Auch hierbei kann der Programmlauf dadurch kontrolliert wer- 
5 den, dass nach dem Lauf des Programms und nach dem Lauf von 
Programmteilen, welche zur Durchfuhrung des erf indungsgemaJBen 
Verfahrens dienen, jeweils ein Flag gesetzt Oder geandert 
wird und dass eine Fehlermeldung erzeugt wird, wenn nicht al- 
le Flags gesetzt oder geandert wurden, wobei wiederum die 
10 Kontrollfunktion des anderen Computers dadurch uberwacht 

wird, dass der Inhalt des Flagregisters von Zeit zu Zeit ver- 
falscht wird, was in dem anderen Mikrocomputer zunachst als 
Fehler des einen Mikrocomputers erkannt wird, jedoch in dem 
einen Mikrocomputer erwartet und gepriift wird. 

15 

Da der jeweils andere Computer nicht zwischen Fehlern beim 
Programmlauf und den absichtlich von Zeit zu Zeit eingebrach- 
ten Fehlern unterscheiden kann, ist bei einer Weiterbildung 
vorgesehen, dass ein Fehlerzahler in einem der Mikrocomputer 

20 Fehler, die fur den jeweils anderen Mikrocomputer festge- 
stellt wurden, zahlt und dass bei Einfugen einer falschen 
Antwort und/oder einer Verfalschung des Flagregisters der 
Zahlerstand des Fehlerzahlers in demjenigen Mikrocomputer, in 
dem die Einfugung der falschen Antwort bzw. die Verfalschung 

25 des Inhalts des Flagregisters stattfand, nicht geandert wird. 

Die Erfindung lasst zahlreiche Ausf tihrungsf ormen zu. Zwei da- 
von sind schematisch in der Zeichnung anhand mehrerer Figuren 
dargestellt und nachfolgend beschrieben. Es zeigt: 

30 

Fig. 1: ein Blockschaltbild eines Anwendungsbeispiels fur 
das erf indungsgemafie Verfahren, 

eine Darstellung verschiedener Funktionen zur U- 
berwachung des Programmlauf s in einem Mikrocompu- 
ter, 



Fig. 2: 

35 
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Fig. 3: ein Flussdiagranim eines Programms zur Realisie- 
rung der in Fig. 2 erlauterten Funktionen und 

Fig. 4: in Form eines Blockdiagramms die gegenseitige U- 
5 berwachung zweier Mikrocomputer . 

Im Zusammenhang mit den Ausf tihrungsbeispielen wird das Pro- 
gramm auch Software-Routine genannt . 

10 Das Anwendungsbeispiel gemaA Fig. 1 stellt einen Drehraten- 

sensor fur ein Kraftf ahrzeug dar, mit einem Vibrationskreisel 
1, der Teil eines Sensormoduls 2 ist . Dies weist eine Reihe 
von Schaltungen zum Betrieb des Vibrationskreisels und zu der 
Auswertung der Signale des Vibrationskreisels auf, unter an- 

15 derem auch einen Mikrocomputer 3. Dieser ist uber einen SPI- 
Bus 4 mit einem weiteren Mikrocomputer 5 verbunden, der im 
folgenden auch Host genannt wird. Von diesem gelangt die 
Drehrateninformation uber einen CAN-Bustreiber 6 an einen 
CAN-Bus 7 zur Weiterleitung an andere Systeme im Kraftfahr- 

20 zeug. 

Da es zum Verstandnis der Erfindung nicht erforderlich ist, 
sind der Vibrationskreisel 1 und das Sensormodul 2 nicht na- 
her erlautert. Wegen der Sicherheitsrelevanz des Drehraten- 
25 sensors ist eine Uberwachung der ordnungsgemafien Funktion der 
Mikrocomputer 3, 5, insbesondere des Programmlauf s, vorgese- 
hen. 

Bei dem in Fig. 2 dargestellten Beispiel sind diejenigen 
30 Funktionen, die der eigentlichen Funktion des Mikrocomputers 
(Primary function) dienen, als Rechtecke dargestellt . Bei 11 
werden Eingangsdaten gelesen - beispielsweise aus den in Fig. 
1 angedeuteten Schaltungen des Sensormoduls 2 - und in der zu 
uberwachenden Software-Routine bei 12 verarbeitet. Die Ergeb- 
35 nisse dieses Programmlauf s werden bei 13 ausgegeben - im Fal- 
le von Fig. 1 letztendlich auf den CAN-Bus 7. Die betroffenen 
Mikrocomputer arbeiten in der Regel mit einer Reihe von Soft- 
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ware-Routinen, die sich zu einem Programmsystem ergSnzen. In 
Fig. 2 ist die Uberwachung einer Routine dargestellt, die bei 
Vorhandensein von mehreren Routinen besonders wichtig ist. 
Mit dem erf indungsgemafien Verfahren konnen jedoch auch mehre- 
5 re Routinen uberwacht werden. 

In dem Mikrocomputer 3, 5 (Fig. 1) ist auJier der zu uberwa- 
chenden Software-Routine in einem anderen Adressenbereich ei- 
ne Kopie der Software-Routine abgelegt - im folgenden Kopie 

10 genannt. Zur Uberprufung des ordnungsgemaften Programmlauf s 
der Original-Routine wird in einem ersten Schritt ein Lauf 
der Kopie mit den gleichen Eingangsdaten bei 14 durchgef uhrt . 
Die Ausgangsdaten dieses Programmlauf s werden mit den Aus- 
gangsdaten der Original-Routine bei 15 verglichen. Im Falle 

15 von Unterschieden wird bei 16 ein Alarm ausgelost. 

In einem weiteren Schritt erfolgt ein Programmlauf der Kopie 
mit Testdaten 17. Die Ausgangsdaten dieses Programmlauf s. wer- 
den mit gespeicherten erwarteten Ergebnissen, die in einer 
20 Look-up-table 18 abgelegt sind, bei 19 verglichen. Treten 

hier Unterschiede auf, wird ebenfalls bei 16 ein Alarm ausge- 
lost. 

Zur Uberwachung dessen, ob die in Fig. 2 dargestellte Uberwa- 
25 chung auch tatsachlich stattfindet, ist vorgesehen, dass nach 
der Ausfiihrung des Programmlauf s der Original-Routine bei 12 
und nach Ausfuhrung der Vergleiche bei 15, 19 Flags in einem 
Register 20 gesetzt werden. Bei 21 wird dann gepruft, ob alle 
Flags gesetzt sind. Ist dieses nicht der Fall, wird bei 22 
30 ein Alarm ausgelost. 

Fig. 3 zeigt das bereits anhand von Fig. 2 erlauterte Uberwa- 
chungsprogramm als Flussdiagramm, das beispielsweise alle 25 
ms wiederholt wird. Dabei wird in einem ersten Programm- 
35 schritt 31 zunachst die Original-Routine abgearbeitet , bei 32 
folgt die Kopie f bei 33 werden die Ergebnisse verglichen. Im 
Programmschritt 34 wird dann die Kopie mit den Testdaten ab- 
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gearbeitet. Danach werden bei 35 die Ergebnisse des Programm- 
laufs 34 miteinander verglichen. Bei 3 6 wird gepriift, ob alle 
Flags gesetzt sind, worauf bei 37 das Flagregister initiali- 
siert wird, d,h. ruckgesetzt, wenn ein Setzen der Flags, wie 
5 im Zusammenhang mit Fig. 2 erlautert, durchgefuhrt wird, Al- 
ternativ kann anstelle des Setzens des Sets ein Toggeln 
durchgefuhrt werden, 

Anhand von Fig. 4 wird die gegenseitige Uberwachung zweier 
10 Mikrocomputer 3, 5 (Fig. 1) erlautert. Die langgestreckten 
Rechtecke 41, 42 stellen Datentelegramme auf dem SPI-Bus 4 
(Fig. 1) dar mit jeweils einem Identif izierer , mehreren Nutz- 
Datenworten und einer Prufsumme. Die ferner dargestellte 
Struktur ist auf beiden Mikrocomputern vorhanden, die sich 
15 gegenseitig uberwachen. 

Zur Uberpriifung des jeweils anderen Mikrocomputers wird in 
dem einen bei 4 3 eine Aufforderung (Request index) generiert, 
die iiber den SPI-Bus 4 an den anderen Mikrocomputer libertra- 

20 gen wird. Dort werden aus einer Tabelle 44 Eingangsdaten fur 
die zu iiberprufende Software-Routine ausgelesen. Diese Daten 
werden in ein Programm 45 ubergeben, das im Wesentlichen die 
Telle 11 bis 15 der Darstellung gemaft Fig. 2 enthalt, d.h., 
in dieser Komponente fuhrt der andere Mikrocomputer seine 

25 primare Funktion aus und arbeitet ferner eine Kopie der Soft- 
ware-Routine ab. 

Die Ausgangsdaten der Software-Routine werden in einer weite- 
ren Tabelle 46 in eine Antwort (Response index) umgewandelt, 

30 die zu dem einen Mikrocomputer ubertragen wird (siehe Daten- 
wort 47 im Datentelegramm 42) . ZweckmaAigerweise enthalten 
die Aufforderung und die Antwort nur jeweils einen Index, der 
besagt, welche in der Tabelle 44 abgelegten Eingangsdaten fur 
die zu iiberprufende Software-Routine verwendet werden sollen 

35 bzw. welchen Daten der Tabelle 4 6 die berechneten Ausgangsda- 
ten entsprechen. 
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Der andere Mikrocomputer erhait eine Antwort (Datenwort 4 8 im 
Datentelegramm 41) und vergleicht diese bei 49 mit der erwar- 
teten Antwort. Stimmen beide uberein, wird angenommen, dass 
der andere Mikrocomputer in dieser Hinsicht richtig arbeitet. 
5 Treten jedoch Abweichungen auf, so wird ein Fehlerzahler 50 
inkrementiert . Von Zeit zu Zeit werden in die Ausgangsdaten 
der Tabelle 4 6, also in die Antwort, Fehler eingefugt, die 
selbst bei richtigem Ablauf der Kopie 14 eine falsche Antwort 
47 zur Folge haben. 

10 

Derjenige Mikrocomputer, der die falsche Antwort erhalt, kann 
jedoch nicht erkennen, ob dies ein nachtraglich eingefuhrter 
Fehler oder ein Fehler durch einen falsch ausgefuhrten Pro- 
grammlauf ist. In ahnlicher Weise werden die im Zusammenhang 
15 mit Fig. 2 beschriebenen Flags bei 52 unterdruckt. Die Flags 
(in Fig. 4 als SR-Flags bezeichnet) werden bei 53 in das Da- 
tentelegramm 42 eingefugt. Sie fuhren bei dem anderen Pro- 
gramm vom Mikrocomputer im Programmteil 54 zu einer Fehler- 
meldung, wenn sie nicht alle gesetzt bzw. getoggelt sind. 

20 

Ferner wird der Zahlerstand des Fehlerzahlers 50 als weiteres 
Datenwort 55 in das Datentelegramm 42 eingef ttgt . Aus dem Da- 
tentelegramm 41 kann der Mikrocomputer das Datenwort 55 ent- 
nehmen und bei 56 uberpriifen, ob der Zahlerstnad dem erwarte- 

25 ten Wert entspricht. Trifft dies nicht zu, wird ebenfalls ei- 
ne Fehlermeldung an den Fehlerzahler 50 gesendet. Die Funkti- 
on 56 erhalt Meldungen von den Funktionen 51, 52, wenn eine 
Verfalschung der jeweiligen Daten vorgenommen wurde, so dass 
dies bei dem Vergleich zwischen dem ubertragenen Zahlerstand 

30 und dem erwarteten Zahlerstand beriicksichtigt wird. Damit 

wird ermoglicht, dass durch die Funktionen 51 und 52 die U- 
berwachung durch den anderen Mikrocomputer richtig durchge- 
fuhrt wird. Der Zahlerstand des Zahlers 50 wird bei 57 dar- 
aufhin gepruft, ob ein vorgegebener Schwellwert erreicht ist. 

35 Ist dieses der Fall f wird bei 58 ein Alarm ausgelost . 
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Patent anspriiche 



1. Verfahren zur Uberwachung des Programmlauf s in einem 
Mikrocomputer eines elektronischen Gerates, insbesonde- 

5 re einer Sensorschaltung fur Kraf tf ahrzeuge, wobei das 

Programm Eingangsdaten verarbeitet und Ausgangsdaten 
erzeugt, dadurch gekennzeichnet, dass zusatzlich zu dem 
Lauf des Programms eine Kopie des Programms, die in ei- 
nem anderen Adressenbereich als das Programm im Mikro- 
10 computer gespeichert ist, mit den fur das Programm vor- 

gesehenen Eingangsdaten ablauft und dass die Ausgangs- 
daten der Kopie mit denen des Programms verglichen wer- 
den und bei Nichtubereinstimmung eine Fehlermeldung er- 
zeugt wird. 

15 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , dass 
ein weiterer Lauf der Kopie vorgesehen ist, bei welchem 
vorgegebene Testdaten verarbeitet werden, dass die Aus- 
gangsdaten des weiteren Laufs der Kopie mit in einem 
Speicher abgelegten Vergleichsdaten verglichen werden 
und dass bei Nichtubereinstimmung eine Fehlermeldung 
erzeugt wird. 

3. Verfahren nach einem der vorhergehenden Anspriiche, da- 
25 durch gekennzeichnet, dass nach dem Lauf des Programms 

und nach dem Lauf von Programmteilen, welche zur Durch- 
fuhrung des erf indungsgemafien Verfahrens dienen, je- 
weils ein Flag gesetzt oder geandert wird -und dass eine 
Fehlermeldung erzeugt wird, wenn nicht alle Flags ge- 
30 setzt oder geandert wurden. 

4. Verfahren zur Uberwachung des Programmlauf s in mindes- 
tens zwei miteinander verbundenen Mikrocomputern eines 
elektronischen Gerates, insbesondere einer Sensorschal- 

35 tun< ? fi3r Kraftfahrzeuge, dadurch gekennzeichnet, dass 

in einem der Mikrocomputer eine Anfrage erzeugt wird, 
welche an den anderen Mikrocomputer gesendet wird und 
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dort mit vorgegebenen Eingangsdaten den Lauf eines Pro- 
gramms bewirkt, dass eine von den Ausgangsdaten abhan- 
gige Antwort an den einen Mikrocomputer zuriickgesendet 
wird und dass in dem einen Mikrocomputer die Anforde- 
5 rung und die Antwort miteinander verglichen werden. 

5. Verfahren nach Anspruch 4, dadurch gekennzeichnet , dass 
das Programm eine Kopie eines die eigentliche Funktion 
des anderen Mikrocomputer s ausfuhrenden Programms ist. 

10 

6. Verfahren nach einem der Anspruche 4 oder 5, dadurch 
gekennzeichnet , dass die Antwort von Zeit zu Zeit ver- 
falscht wird, was in dem anderen Mikrocomputer zunachst 
als Fehler des einen Mikrocomputers erkannt wird, je- 

15 doch in dem einen Mikrocomputer erwartet und gepruft 

wird, 

7. Verfahren nach einem der Anspruche 4 bis 6, dadurch ge- 
kennzeichnet, dass nach dem Lauf des Programms und nach 
dem Lauf von Programmteilen, welche zur Durchfuhrung 
des erf indungsgemaften Verfahrens dienen, jeweils ein 
Flag gesetzt oder geandert wird und dass eine Fehler- 
meldung erzeugt wird, wenn nicht alle Flags gesetzt o- 
der geandert wurden. 



20 



25 



30 



8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass 
der Inhalt des Flagregisters von Zeit zu Zeit ver- 
falscht wird, was in dem anderen Mikrocomputer zunachst 
als Fehler des einen Mikrocomputers erkannt wird, je- 
doch in dem einen Mikrocomputer erwartet und gepruft 
wird. 



9. Verfahren nach einem der Anspruche 4 bis 8, dadurch ge- 
kennzeichnet, dass ein Fehlerzahler in einem der Mikro- 
35 computer Fehler, die fur den jeweils anderen Mikrocom- 

puter festgestellt wurden, zahlt und dass bei Einfiigen 
einer falschen Antwort und/oder einer Verfalschung des 
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Flagregisters der Zahlerstand des Fehlerzahlers in dem- 

jenigen Mikrocomputer, in dem die Einfiigung der fal- 

schen Antwort bzw. die Verfalschung des Inhalts des 
Flagregisters stattfand, nicht geandert wird. 
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